บล็อกแอปในอุปกรณ์ Windows 10 หรือ 11 ด้วยการตั้งค่าที่กำหนดเอง

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter, Frontline Standard และ Frontline Plus; Business Plus; Enterprise Standard และ Enterprise Plus; Education Standard, Education Plus และ Endpoint Education Upgrade; Enterprise Essentials และ Enterprise Essentials Plus; Cloud Identity Premium  เปรียบเทียบรุ่นของคุณ

เมื่อจัดการอุปกรณ์ Windows ในองค์กรด้วยการจัดการอุปกรณ์ Windows คุณจะกำหนดได้ว่ามีแอปใดบ้างที่อนุญาตให้ติดตั้งในอุปกรณ์เหล่านั้นโดยเพิ่มการตั้งค่าที่กำหนดเองในคอนโซลผู้ดูแลระบบของ Google โดยให้ระบุแอปในไฟล์ XML ที่อัปโหลดเป็นค่าของการตั้งค่าที่กำหนดเอง คุณจะบล็อกแต่ละแอปหรือไฟล์แอปทั้งหมดที่ตรงกับประเภทที่กำหนด เช่น EXE หรือ MSI ได้

ขั้นตอนที่ 1: ระบุแอปที่อนุญาตและบล็อกในไฟล์ XML

สร้างไฟล์ XML โดยใช้บรรทัดคำสั่งใน PowerShell หรือ GUI ในเครื่องมือแก้ไข Group Policy ของ Windows วิธีการเหล่านี้จะแสดงวิธีสร้างนโยบายเดียว แต่คุณสามารถรวมนโยบายที่เกี่ยวข้องสำหรับแอปที่มีไฟล์ประเภทเดียวกันในไฟล์ XML เดียวได้ ดูตัวอย่าง

ข้อสำคัญ: หากต้องการบล็อกไฟล์แอปประเภทต่างๆ (EXE, MSI, Script, StoreApps และ DLL) คุณต้องสร้างการตั้งค่าขึ้นเองแยกต่างหาก

ตัวเลือกที่ 1 - บรรทัดคำสั่ง (PowerShell)

  1. ใช้โปรแกรมสร้าง GUID ออนไลน์เพื่อรับ GUID แบบสุ่ม เคล็ดลับ: ในเครื่องมือค้นหา ให้ค้นหา online GUID generator
  2. หากต้องการบล็อกแอปใดแอปหนึ่ง ให้หาข้อมูลแอป หากต้องการบล็อกแอปทั้งหมดที่มีไฟล์บางประเภท ให้ข้ามขั้นตอนนี้
    1. ในอุปกรณ์ Windows ให้ดาวน์โหลดไฟล์ที่ดำเนินการได้ของแอป (ไฟล์ที่ลงท้ายด้วย .exe) ที่คุณต้องการบล็อกหรืออนุญาต
    2. เปิด PowerShell
    3. เรียกใช้ Get-AppLockerFileInformation -path PathToExe | format-list โดยที่ PathToExe คือเส้นทางไปยังไฟล์ที่ดำเนินการได้
    4. ในคำตอบ ให้ค้นหาและบันทึกค่าในบรรทัด Publisher โดยค่าจะมีรูปแบบต่อไปนี้และตรงกับค่าที่คุณจะใช้ใน XML

      PublisherNameProductNameBinaryName,BinaryVersion

      ชื่อผู้เผยแพร่จะเป็นสตริงแบบยาว O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US และคุณต้องระบุทั้งสตริง

  3. คัดลอก XML ต่อไปนี้ลงในเครื่องมือแก้ไขข้อความ

    <RuleCollection Type="Type" EnforcementMode="Enabled">
    <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
    <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. แก้ไข XML เพื่อแทนที่ตัวยึดตำแหน่งด้วยค่านั้นๆ สำหรับ Use Case เฉพาะ เช่น การจัดกลุ่มนโยบายหลายประการในไฟล์เดียว โปรดดูตัวอย่าง
    ตัวยึดตำแหน่ง ค่า
    ประเภท

    ประเภทไฟล์ของแอป (ต้องตรงกับ OMA-URI)

    • สำหรับไฟล์ EXE ให้ป้อน "Exe"
    • สำหรับไฟล์ MSI ให้ป้อน "Msi"
    • สำหรับไฟล์สคริปต์ ให้ป้อน "Script"
    • สำหรับไฟล์ DLL ให้ป้อน "Dll"
    • สำหรับแอป Microsoft Store ให้ป้อน "Appx"
    GUID GUID ที่คุณสร้างในขั้นตอนที่ 1
    PolicyName ชื่อของนโยบาย คุณใช้สตริงใดก็ได้
    PolicyDescription คำอธิบายของนโยบาย
    UserOrGroupSid ผู้ใช้หรือกลุ่มที่นโยบายมีผล
    • หากต้องการใช้นโยบายกับผู้ใช้ทุกคนในอุปกรณ์ ให้ป้อน S-1-1-0
    • หากต้องการใช้นโยบายกับผู้ใช้ที่ต้องการ ให้ป้อน SID ของผู้ใช้คนดังกล่าว คุณจะหา SID ของผู้ใช้ได้โดยเรียกใช้คำสั่งดังนี้

      wmic username get name,sid

      โดยที่ username คือชื่อผู้ใช้ในอุปกรณ์ หากไม่ทราบชื่อผู้ใช้ ให้ดูรายชื่อผู้ใช้ทั้งหมดในอุปกรณ์โดยเรียกใช้

      wmic useraccount get name,sid

    • คุณจะป้อนชื่อผู้ใช้ได้เพียงชื่อเดียว หากต้องการใช้นโยบายกับผู้ใช้เพิ่มเติม ให้จัดผู้ใช้เป็นกลุ่ม หรือคัดลอกนโยบายแล้วอัปเดตชื่อ

    • หากต้องการใช้นโยบายกับกลุ่มที่ต้องการ ให้ป้อน SID ของกลุ่ม คุณจะหา SID ของกลุ่มได้โดยเรียกใช้คำสั่งดังนี้

      wmic groupName get name,sid

      โดยที่ groupName คือชื่อของกลุ่มในอุปกรณ์ หากไม่ทราบชื่อกลุ่ม คุณจะดูรายชื่อกลุ่มทั้งหมดในอุปกรณ์ได้โดยการเรียกใช้

      wmic group get name,sid
    Allow|Deny เลือกการดำเนินการสำหรับนโยบายนี้ ไม่ว่าจะเป็นการบล็อกหรืออนุญาตแอปที่ระบุ
    PublisherName ชื่อผู้เผยแพร่แอป (PublisherName จากขั้นตอนที่ 2) คุณใช้ไวลด์การ์ด &ast; ได้ แต่ระบบจะไม่รองรับการจับคู่นิพจน์ทั่วไปและคำนำหน้าหรือคำต่อท้าย
    BinaryName

    ชื่อไฟล์ของไบนารี (BinaryName จากขั้นตอนที่ 2) คุณใช้ไวลด์การ์ด &ast; ได้ แต่ระบบจะไม่รองรับการจับคู่นิพจน์ทั่วไปและคำนำหน้าหรือคำต่อท้าย

    เช่น หากต้องการบล็อกไฟล์ EXE ทั้งหมด ให้ป้อน &ast; และเมื่อคุณเพิ่มการตั้งค่าที่กำหนดเอง ให้เลือก OMA-URI ที่ลงท้ายด้วย /EXE/Policy
    ProductName ชื่อของผลิตภัณฑ์ (ProductName จากขั้นตอนที่ 2) คุณใช้ไวลด์การ์ด &ast; ได้ แต่ระบบจะไม่รองรับการจับคู่นิพจน์ทั่วไปและคำนำหน้าหรือคำต่อท้าย
    latestVersion หมายเลขเวอร์ชันล่าสุดของแอปที่นโยบายนี้มีผล หากต้องการบล็อกแอปทุกเวอร์ชัน ให้ป้อน &ast;
    earliestVersion หมายเลขเวอร์ชันแรกสุดของแอปที่นโยบายนี้มีผล หากต้องการบล็อกแอปทุกเวอร์ชัน ให้ป้อน &ast;

  5. บันทึกไฟล์

ตัวเลือกที่ 2 - GUI (เครื่องมือแก้ไขนโยบายกลุ่มของ Windows)

  1. ทำตามวิธีการในส่วน "การสร้าง XML" ในบทความของ Microsoft นี้ แล้วหยุดเมื่อถึงส่วน "Creating the Policy"

    หมายเหตุ: วิธีการเหล่านี้อธิบายการสร้างนโยบายสำหรับแอปที่ติดตั้งในอุปกรณ์ หากต้องการสร้างนโยบายสำหรับแอปที่ไม่ได้ติดตั้งไว้ในอุปกรณ์ ในขั้นตอนที่ 6 ให้เลือก Use a packaged app installer as a reference

  2. หลังจากส่งออกไฟล์ XML แล้ว ให้นำนโยบายที่สร้างไว้ออกจากเครื่องมือแก้ไข Groups Policy มิฉะนั้น ระบบจะใช้นโยบายกับอุปกรณ์

ขั้นตอนที่ 2: เพิ่มการตั้งค่าที่กำหนดเอง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น อุปกรณ์ จากนั้นมือถือและอุปกรณ์ปลายทาง จากนั้นการตั้งค่า จากนั้นWindows 

    คุณต้องมีสิทธิ์ของผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

  2. คลิกการตั้งค่าที่กำหนดเอง
  3. คลิกเพิ่มการตั้งค่าที่กำหนดเอง

  4. วิธีกำหนดการตั้งค่าที่กำหนดเอง

    1. ในช่อง OMA-URI ให้ป้อน ApplicationLaunchRestriction แล้วเลือก OMA-URI ที่ตรงกับประเภทไฟล์ของแอปในนโยบาย ดังนี้

      • สำหรับไฟล์ EXE ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/EXE/Policy
      • สำหรับแอปที่ดาวน์โหลดได้ใน Microsoft Store ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/AppStore/Policy
      • สำหรับไฟล์ MSI ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/MSI/Policy
      • สำหรับสคริปต์ PowerShell ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/Script/Policy
      • สำหรับไฟล์ DLL ให้เลือก ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<ป้อนการจัดกลุ่ม>/DLL/Policy

      โปรดดูข้อมูลเพิ่มเติมในเอกสารประกอบเกี่ยวกับ AppLocker CSP ของ Microsoft

    2. ใน OMA-URI ให้แทนที่ <ป้อนการจัดกลุ่ม> ด้วยสตริงตัวอักษรและตัวเลขแบบสุ่มที่ไม่ซ้ำกันสำหรับการตั้งค่าที่กำหนดเองแต่ละรายการ เช่น หากคุณเพิ่มการตั้งค่าที่กำหนดเอง 1 รายการเพื่อบล็อกไฟล์ EXE และอีก 1 รายการเพื่อบล็อกไฟล์ MSI ให้ใช้ค่าที่ต่างกันสำหรับการตั้งค่าดังกล่าวแต่ละรายการ

    3. เมื่อคุณเลือก OMA-URI ช่องชื่อจะอัปเดตเป็น "Policy" ป้อนชื่อที่ไม่ซ้ำกันเพื่อช่วยให้คุณสังเกตได้ในรายการการตั้งค่าที่กำหนดเอง

    4. สำหรับประเภทข้อมูล ให้เลือกสตริง (XML) คลิกอัปโหลด XML และเลือกไฟล์การกำหนดค่า XML ที่สร้างในส่วนแรก

    5. (ไม่บังคับ) ป้อนคำอธิบายที่อธิบายการทำงานของการตั้งค่าที่กำหนดเองและบุคคลที่การตั้งค่ามีผล

  5. คลิกถัดไปเพื่อดำเนินการต่อและเลือกหน่วยขององค์กรที่จะใช้การตั้งค่าที่กำหนดเองนี้ หรือคลิกเพิ่มรายการอื่นเพื่อเริ่มการตั้งค่าอื่น นโยบายเพิ่มเติมจะไม่มีผลกับหน่วยขององค์กรจนกว่าคุณจะคลิกถัดไปและเลือกหน่วยขององค์กร

  6. เลือกหน่วยขององค์กรที่จะใช้นโยบาย

  7. คลิกใช้

หากผู้ใช้ในหน่วยขององค์กรพยายามติดตั้งหรือเปิดแอปที่ถูกบล็อกในอุปกรณ์ Windows ผู้ใช้จะได้รับข้อความแสดงข้อผิดพลาดว่าผู้ดูแลระบบบล็อกแอปดังกล่าว

ตัวอย่างไฟล์ XML

อนุญาตเฉพาะแอปที่ลงนามแล้ว (บล็อกทุกแอปที่ไม่ได้ลงนาม)

นโยบายนี้อนุญาตให้ผู้ใช้ติดตั้งเฉพาะแอปที่ลงนามแล้ว และยังบล็อกผู้ใช้จากการติดตั้งแอปที่ไม่ได้ลงนามที่มีประเภทไฟล์ตรงกับที่ระบุใน OMA-URI

หากต้องการบล็อกแอปที่ไม่ได้ลงนามสำหรับไฟล์ทุกประเภท ให้เพิ่มการตั้งค่าที่กำหนดเองให้กับไฟล์แต่ละประเภท และใช้ XML ต่อไปนี้เป็นค่า

หมายเหตุ: ใน RuleCollection ค่า Type ต้องตรงกับประเภทไฟล์ของแอป ค่าอาจเป็น "Exe" สำหรับไฟล์ EXE, "Msi" สำหรับไฟล์ MSI, "Script" สำหรับไฟล์สคริปต์, "Dll" สำหรับไฟล์ DLL หรือ "Appx" สำหรับ StoreApps ใน FilePublisherRule ให้แทนที่ GUID ด้วย GUID แบบสุ่มที่คุณได้รับจากโปรแกรมสร้าง GUID ออนไลน์ 
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

บล็อกแอปบางแอป

หากต้องการบล็อกแอป คุณต้องใส่ส่วน <FilePublisherRule> ที่อนุญาตแอปและการบล็อก <FilePublisherRule> สำหรับแต่ละแอปที่ต้องการบล็อก

รูปแบบทั่วไปคือ

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
 หมายเหตุ: ใน RuleCollection ค่า Type ต้องตรงกับประเภทไฟล์ของแอป ค่าอาจเป็น "Exe" สำหรับไฟล์ EXE, "Msi" สำหรับไฟล์ MSI, "Script" สำหรับไฟล์สคริปต์, "Dll" สำหรับไฟล์ DLL หรือ "Appx" สำหรับ StoreApps ใน FilePublisherRule ให้แทนที่ GUID ด้วย GUID แบบสุ่มที่คุณได้รับจากโปรแกรมสร้าง GUID ออนไลน์

เช่น นโยบายนี้บล็อกไม่ให้ผู้ใช้เรียกใช้ทั้ง "แอป A" และ "แอป B" ซึ่งเป็นไฟล์ EXE

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

บล็อกแอปที่อยู่รวมกันในระบบปฏิบัติการ Windows

ตัวอย่างนี้อ้างอิงจากตัวอย่างในเอกสารประกอบของ Microsoft ซึ่งบล็อกผู้ใช้ไม่ให้ใช้ Windows Mail ก่อนใช้ ให้แทนที่ GUID ด้วย GUID ที่สุ่มมาจากเครื่องมือสร้าง GUID ออนไลน์

หมายเหตุ: ไฟล์แอปนี้คือแอปใน Microsoft Store ฉะนั้น OMA-URI จึงต้องเป็น ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง